Mimail-Wurm nutzt Sicherheitsleck in Outlook Express

Der Wurm-Code befindet sich im Mail-Anhang in einer ZIP-Datei mit der Bezeichnung Message.zip. Öffnet der Anwender diese, findet er darin die HTML-Datei Message.htm, die den schadhaften Code enthält. Wird diese HTML-Datei geöffnet, macht sich der Wurm die im April dieses Jahres entdeckte Sicherheitslücke in Outlook Express zu Nutze und führt entsprechenden Programmcode (foo.exe) aus. Parallel mit der Bekanntgabe der Sicherheitslücke in Outlook Express wurde im April 2003 auch ein Patch von Microsoft bereitgestellt.

Die Absenderadresse des Wurms weist das Muster admin@eigene-domain auf und soll dem Anwender so in den Glauben versetzen, dass die betreffende E-Mail vom eigenen Administrator stammt. Die Betreffzeile beginnt mit "your account", gefolgt von einigen zufällig ausgewählten Buchstaben. Der Nachrichtentext ist ebenfalls immer identisch und sieht folgendermaßen aus:

Hello there,

I would like to inform you about important information 
regarding your email address. This email address will be 
expiring. Please read attachment for details.

Diesem Textbaustein folgen - wie auch in der Betreffzeile - einige zufällig ausgewählte Buchstaben.

Für die Verbreitung durchforstet der Wurm etliche lokale Dateien nach passenden E-Mail-Adressen und versendet sich über eine eigene SMTP-Engine. Daneben sammelt Mimail Informationen von offenen Applikationen und versendet diese Informationen an im Wurm-Code abgelegte E-Mail-Adressen. So können vertrauliche Informationen in fremde Hände gelangen. Mimail kopiert sich mit den Bezeichnungen exe.tmp, zip.tmp sowie videodrv.exe in das Windows-Verzeichnis und trägt sich mit videodrv.exe in die Registry ein, so dass der Wurm bei jedem Neustart des Rechners gestartet wird.

Die Hersteller von Antiviren-Software haben ihre Signaturdateien aktualisiert, so dass der Wurm damit erkannt und beseitigt werden kann.